Consulenza GDPR: in cosa consiste? Perché serve un consulente?
Spesso, erroneamente, quando si accenna alla nuova (ormai, non più così tanto, dato che dal 2016, anno di pubblicazione o dal 2018, anno di presa efficacia, sono passate alcune stagioni) normativa sulla protezione dei dati personali (Gdpr), il primo pensiero va al sito web e alla rete informatica.
In realtà, ciò è limitativo, in quanto, quando si parla di dati personali, si parla anche di immagini filmate (videosorveglianza), di foto, di documenti cartacei (pensiamo ai documenti da presentare negli hotel, in banca o in molti enti) e via discorrendo.
Altro luogo comune (ed errato) è che si debbano considerare solo i “dati sensibili”, come oggetto di attenzione della normativa. Sicuramente, i dati sensibili, ora chiamati “particolari” meritano un’attenzione diversa, ma, il regolamento europeo è nato per normare il trattamento di dati personali in genere. Infatti, anche un numero di telefono, un’immagine o una mail, pur non essendo dati annoverati tra quelli “particolari”, devono essere trattati secondo i principi e le prescrizioni del Gdpr.
Per completare la sequela di inesattezze, cerchiamo di capire cosa si intende per “trattamento”. La definizione è ben spiegata dal regolamento e si riferisce alle seguenti attività sui dati personali:
“Per trattamento dei dati personali si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, punto 2 del GDPR).
Ora veniamo al punto: in cosa consiste la consulenza Gdpr? Perché serve un consulente?
Per rispondere, è necessario approfondire alcuni concetti, in particolare, in cosa consiste la normativa privacy in generale e quali possono essere le complessità.
La vigente normativa è composta da: il reg. Eu 679/2016 detto Gdpr (99 articoli e 173 considerando); il d.lgs. 101/2018; tutti i provvedimenti e i chiarimenti successivi del Garante e dell’Edpb (European Data Protection Board); le modifiche dei codici deontologici; le implicazioni di alcuni articoli dello Statuto dei Lavoratori (legge 300/1970); l’attuale “E-Privacy” e le successive modifiche; alcune sentenze della Cassazione e non è ancora finita!
E’ importante considerare la velocità alla quale si muovono le innovazioni tecnologiche, tra social media, apparati IOT, intelligenza artificiale, soluzioni proposte nel campo del marketing e della profilazione, nonché del tracciamento delle persone e così via.
Inoltre, una caratteristica peculiare del Gdpr è quella del principio di “responsabilizzazione” del titolare del trattamento che, unito alla caratteristica dell’inversione dell’onere della prova, rende difficoltoso e rischioso prendere alcune decisioni. Quando e come devo realizzare la “DPIA” (Data Protection Impact Assessment), chiamata “valutazione di impatto privacy”? (art. 35). Quando devo consultare il Garante? (art. 36). Cosa si intende per “misure idonee di protezione” e “accountability”? (artt. 24, 32). Posso accedere ai dispositivi in dotazione ai dipendenti, per tutelare i miei dati aziendali? Se sì, come? I cookie che utilizzo nel sito, sono tutti legali e gestiti secondo le normative? Devo nominare o no l’amministratore di sistema? Devo redigere il registro dei trattamenti? (art.30). E le nomine esterne? La formazione?
Insomma, come si può immaginare, la complessità è ai massimi livelli e le aree coinvolte sono quelle dei consumatori, dei dipendenti, dei clienti acquisiti e potenziali, dei fornitori e dei visitatori dell’azienda e dei navigatori del web (sito aziendale). Il rischio di sanzione è elevato e gli enti ispettivi vanno dalla Guardia di Finanza, all’Ispettorato del Lavoro, ma è sufficiente la segnalazione di un normale cittadino per far scattare l’istruttoria dell’Autorità Garante.
E’ quindi evidente come non sia sufficiente inserire nel sito un’informativa realizzata con un copia/incolla per definire “compliant” l’azienda e come non sia sufficiente arrabattare qualche documento fotocopiato qua e là per poter affermare di essere conformi.
Purtroppo, senza nulla togliere a quelle organizzazioni che hanno diversificato l’attività in modo professionale, è da segnalare un fiorire di consulenti privacy improvvisati, magari nati nel settore dell’informatica o della sicurezza del lavoro che, avuta la percezione di un nuovo business redditizio, si sono lanciati a capofitto nella consulenza, seminando documentazioni imprecise e concetti del tutto errati sulla gestione di questo importante aspetto della propria professione.
In conclusione, l’importanza di un consulente preparato è innegabile, vista la complessità e la variabilità della materia e spesso la difficile interpretazione delle norme che la caratterizzano.
Daniele Umberto Spano
Ceo Kruzer S.r.l.
Per approfondimenti, contattaci, cliccando qui.